Hlavní navigace

Recyklace malwaru: Starého útočníka novým kouskům nenaučíš

Pavel Čepský

Občas se může zdát, že síťoví podvodníci a útočníci celé dny nedělají nic jiného, než že vymýšlejí a vytvářejí stále nové hrozby. Opak je pravdou. Proč se tak moc daří hlavně starším nebezpečím?

Některé praktiky světa škodlivého kódu mají stále dokola stejný scénář, a tak se může zdát, že podobné metody už nemohou fungovat. Z dlouhodobého sledování měsíčních statistik nejrozšířenějších malwarových hrozeb však snadno odtušíme, že prim hrají hlavně techniky, které zneužívají už dříve zneužité skuliny a přežívají nikoliv týdny nebo měsíce, ale dokonce roky.

Zpravidla opravdu nejde o převratné inovace, které by zalarmovaly celý svět a donutily každého majitele zařízení připojeného k síti bát se o svá data a systém. Prvenství ve vývoji síťových útoků trochu paradoxně během posledního roku patří DDoS útokům, phishingu, nigerijským dopisům v elektronické podobě nebo nesmrtelnému farmaceutickému spamu.

Nepřímo na to upozornila a dlouhodobý trend potvrdila také společnost ESET v aktuálním sumáři hrozeb, který může nezávisle na použitém antiviru posloužit jako vodítko pro analýzu nejnovějších i těch starších rizik. Hrozba INF/Autorun se stala druhý měsíc za sebou nejrozšířenějším škodlivým kódem, druhá příčka připadla malwaru Conficker a třetí pozici obsadil HTML/ScrInject.B. Že vám jsou tyto názvy až příliš povědomé, i když s viry nemáte osobní zkušenost? Máte pravdu, jde o skupiny škodlivého kódu, které uživatele sužují již velmi dlouhou dobu.

Zmíněný INF/Autorun představuje různé druhy malwaru využívající jako cestu k napadení počítače soubor autorun.inf, nesmrtelný Conficker na stříbrné pozici patří dobře známému a hlavně letitému riziku. Konečně bronzovou „plackou“ ověnčený HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který automaticky přesměruje uživatele ke stahování škodlivého kódu.

Hrozby červen 2012
Aktuální hrozby podle souhrnných statistik za červen. Zdroj: ESET

Nesmrtelná klasika na druhém místě

Před koncem roku 2008 byla objevena a popsána zranitelnost operačního systému Windows, která mohla otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v lednu následujícího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.

Neblaze proslulým hlavním hrdinou představeného malwarového thrilleru se stal právě červ Conficker (též známý jako Downadup), který během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož se oprava distribuovala pomocí automatických aktualizací ještě před největším rozmachem červa. Dnes, čtyři roky poté, co byla hrozba detekována, nicméně podle aktuálních statistik stále spoluvévodí malwarovému světu.

V případě Confickeru je důvod jeho nesmrtelnosti nasnadě, první silná vlna si totiž rychle vybudovala základnu infikovaných strojů, které jsou využity k dalším útokům. Navíc také Conficker zpočátku patřil mezi škodlivý kód, který z pohledu začínajících uživatelů nebylo snadné z počítače odstranit, a tak získal ještě delší čas pro další šíření. A do třetice je zde více mutací, jelikož Conficker prošel postupnou evolucí. Z pohledu útočníků je vždy snazší upravit již existující a dostatečně fungující „mustr“, než vyvíjet vše od prvního škodlivého bajtu.

Night Dragon
Moderním útokem, který zneužívá původní rizika, je také Night Dragon. Zdroj: McAfee 

Neviditelné riziko stále dokola

První místo žebříčku aktuálně nejrozšířenějších rizik okupuje další notoricky známá hrozba: INF.Autorun. Jedná se o kategorii malwaru, který zneužívá možnosti automatického spuštění obsahu z externích médií připojených ve Windows. Původně se šířil prostřednictvím CD a DVD disků, nyní však soubory autorun.inf ve své nebezpečné variantě vládnou hlavně různým USB flash diskům a externím pevným diskům.

I zneužití Autorun informací se stále dokola drží na předních příčkách žebříčků nebezpečného kódu. Jedním z důvodů jsou zde opět různé mutace, nejedná se totiž o konkrétní virus nebo jeho dvě či tři varianty, ale rodinu škodlivého kódu. Pokud tedy i nadále budete upozorněni na toto riziko, nepanikařte, nejde o hrůzostrašnou revoluci, ale spíše evoluci. Bohužel se rodina tohoto škodlivého kódu postupem času rozrostla, a tak i z tohoto důvodu mají útočníci-začátečníci snadno dostupnou inspiraci pro vytvoření vlastní varianty a nemusejí vytvářet zbrusu nový malware.

EBF17 tip Šulák

Pokud byste hledali společného jmenovatele, který nejčastější malwary spojuje, je jím zneužití bez přímé vědomé interakce uživatele. Připojení USB disku s infikovaným obsahem (podloudné zneužití autorun informací), útok na nedostatečně záplatovaný systém, nepoužití antiviru v pro- i reaktivní obraně (Conficker a všechny jeho mutace) i vkládání podvodného kódu do na první pohled důvěryhodných stránek patří mezi zneužití standardních akcí, které uživatelé dělají, aniž by nad zhoubnými následky kdovíjak přemýšleli.

Útočníci se při tvorbě nových hrozeb jednoduše inspirují stávajícími druhy škodlivého kódu, případně zakoupí toolkit pro vytváření nových variant a na pár kliknutí jakoby vytvoří nového síťového strašáka. Ukazuje se však, že jde o známé scénáře s novým obsazením v hlavních rolích. I přes léta negativních zkušeností zde tyto hrozby budou tak dlouho, dokud je běžní koncoví uživatelé nezvládnou ukočírovat.

Našli jste v článku chybu?